現在修正されたWazuhサーバーの重大なセキュリティ欠陥が、脅威アクターによって悪用され、2つの異なるMiraiボットネットのバリアントをドロップし、それらを使用して分散型サービス拒否(DDoS)攻撃を実行しています。
2025年3月末に最初にこの悪用の試みを発見したAkamaiは、この悪意のあるキャンペーンがCVE-2025-24016(CVSSスコア:9.9)を標的にしていると述べました。これは、Wazuhサーバーでのリモートコード実行を可能にする安全でないデシリアライズの脆弱性です。
サーバーソフトウェアのバージョン4.4.0以上のすべてのバージョンに影響を与えるこのセキュリティ欠陥は、2025年2月にリリースされたバージョン4.9.1で対処されました。パッチがリリースされたのと同時期に、概念実証(PoC)エクスプロイトが公開されました。
問題はWazuh APIに根ざしており、DistributedAPIのパラメーターがJSONとしてシリアライズされ、framework/wazuh/core/cluster/common.pyファイルで「as_wazuh_object」を使用してデシリアライズされます。脅威アクターは、悪意のあるJSONペイロードを注入して任意のPythonコードをリモートで実行することで、この脆弱性を武器化することができます。
ウェブインフラストラクチャ企業は、脆弱性の公開とPoCのリリースからわずか数週間後に、2つの異なるボットネットがCVE-2025-24016を悪用しようとする試みを発見したと述べました。攻撃は2025年3月初旬と5月に記録されました。
「これは、ボットネット運営者が新たに公開されたCVEに対して採用している、ますます短縮されるエクスプロイトまでのタイムラインの最新の例です」と、セキュリティ研究者のKyle LeftonとDaniel MessingはThe Hacker Newsに共有されたレポートで述べました。
最初のケースでは、成功したエクスプロイトが、異なるアーキテクチャ用に外部サーバー(「176.65.134[.]62」)からMiraiボットネットペイロードをダウンロードするためのダウンローダーとして機能するシェルスクリプトの実行を可能にします。マルウェアサンプルは、2023年から存在するLZRD Miraiのバリアントであると評価されています。
LZRDは最近、GeoVisionのエンドオブライフ(EoL)インターネットオブシングス(IoT)デバイスを悪用する攻撃でも展開されましたが、Akamaiは、LZRDが多数のボットネット運営者によって使用されているため、これらの2つの活動クラスターが同じ脅威アクターの作品である証拠はないとThe Hacker Newsに伝えました。
「176.65.134[.]62」とその関連ドメインのさらなるインフラストラクチャ分析により、「neon」や「vision」と名付けられたLZRDバリアントを含む他のMiraiボットネットバージョンや、V3G4の更新バージョンが発見されました。
ボットネットによって悪用された他のセキュリティ欠陥には、Hadoop YARN、TP-Link Archer AX21(CVE-2023-1389)、およびZTE ZXV10 H108Lルーターのリモートコード実行バグが含まれます。
CVE-2025-24016を悪用する2番目のボットネットは、Resbot(別名Resentual)と呼ばれる別のMiraiボットネットバリアントを配信するための悪意のあるシェルスクリプトを使用する同様の戦略を採用しています。
「このボットネットについて興味深いことの1つは、関連する言語でした。イタリア語の命名法を持つさまざまなドメインを使用してマルウェアを拡散していました」と研究者たちは述べました。「言語的な命名規則は、特にイタリア語を話すユーザーが所有し運営するデバイスをターゲットにしたキャンペーンを示している可能性があります。」
FTPを介してポート21で拡散を試み、telnetスキャンを実行することに加えて、このボットネットは、Huawei HG532ルーター(CVE-2017-17215)、Realtek SDK(CVE-2014-8361)、およびTrueOnline ZyXEL P660HN-T v1ルーター(CVE-2017-18368)を標的とするさまざまなエクスプロイトを利用していることが判明しました。
「Miraiの拡散は比較的抑制されずに続いており、古いソースコードを再利用して新しいボットネットをセットアップまたは作成することが比較的簡単であるためです」と研究者たちは述べました。「そして、ボットネット運営者は、新たに公開されたエクスプロイトを単に利用することでしばしば成功を収めることができます。」
CVE-2025-24016は、Miraiボットネットバリアントによって悪用される唯一の脆弱性ではありません。最近の攻撃では、脅威アクターがTBK DVR-4104およびDVR-4216デジタルビデオ録画デバイスに影響を与える中程度の深刻度のCVE-2024-3721、コマンドインジェクションの脆弱性を利用して、それらをボットネットに参加させています。
この脆弱性は、リモートサーバー(「42.112.26[.]36」)からMiraiボットネットをダウンロードして実行する責任を持つシェルスクリプトの実行をトリガーするために使用されますが、仮想マシンまたはQEMU内で現在実行されているかどうかを確認する前に行われます。
ロシアのサイバーセキュリティ企業Kasperskyは、感染が中国、インド、エジプト、ウクライナ、ロシア、トルコ、ブラジルに集中していると述べ、オンラインで50,000以上の露出したDVRデバイスを特定したと付け加えました。
「パッチが適用されていないIoTデバイスやサーバーの既知のセキュリティ欠陥を悪用し、Linuxベースのシステムを標的とするマルウェアの広範な使用と相まって、感染するデバイスをインターネット上で常に探している多数のボットが存在します」と、セキュリティ研究者のAnderson Leiteは述べました。
この開示は、2025年第1四半期にAPAC地域で最も標的にされた国として、中国、インド、台湾、シンガポール、日本、マレーシア、香港、インドネシア、韓国、バングラデシュが浮上したことを示すStormWallの統計とともに発表されました。
「APIフラッドやカーペットボミングは、従来のボリューメトリックTCP/UDP攻撃よりも速く成長しており、企業はよりスマートで柔軟な防御を採用するようになっています」と、同社は述べました。「同時に、地政学的緊張の高まりが政府システムや台湾への攻撃の急増を引き起こしており、ハクティビストや国家支援の脅威アクターの活動が増加していることを強調しています。」
また、米国連邦捜査局(FBI)からの勧告に続き、BADBOX 2.0ボットネットが、主に中国で製造された数百万のインターネット接続デバイスに感染し、それらを住宅用プロキシに変えて犯罪活動を促進していると述べました。
「サイバー犯罪者は、ユーザーが購入する前に製品に悪意のあるソフトウェアを設定するか、通常はセットアッププロセス中にバックドアを含む必要なアプリケーションをダウンロードする際にデバイスを感染させることで、ホームネットワークへの不正アクセスを取得します」とFBIは述べました。
「BADBOX 2.0ボットネットは、数百万の感染デバイスで構成されており、サイバー犯罪者が販売または無料でアクセスを提供することによって、さまざまな犯罪活動に使用される侵害されたホームネットワークへのプロキシサービスを維持しています。」
翻訳元: https://thehackernews.com/2025/06/botnet-wazuh-server-vulnerability.html